ANALISIS,PERANCANGAN DAN IMPLEMENTASI PROTECTED PORT BERBASIS PRIVATE VLAN UNTUK DMZ AREA PADA PT.AJB BUMIPUTERA
Juliano Ivan Maruli Yosafat Samuel Bangun Michael Andreas Lacandu Rudi Tjiptadi, Dipl.Ing. ABSTRAK
Tujuan dari penelitian ini adalah untuk menganalisis dan merancang protected port yang berbasis pada private VLAN untuk DMZ area dan diimplementasikan pada PT.AJB Bumiputera.Analisis jaringan diutamakan pada server farm area yang kemudian dilakukan perancangan protected port dengan berbasis private VLAN untuk DMZ area dan diimplementasikan pada server farm area.Metode yang digunakan dalam penelitian ini adalah metode network development life cycle (NDLC).Hasil yang dicapai adalah menjaga server farm dari serangan distribution attack yang dilakukan oleh hacker yang bertujuan untuk mencuri data perusahaan dan mengganggu aktifitas perusahaan.Simpulan yang diperoleh adalah PT.AJB Bumiputera memiliki metode keamanan jaringan yang baru dan efesien.
Kata Kunci : Protected Port, Private VLAN, DMZ area, server, server farm area, distribution attack
The purpose of this research is to analyze and design the protected port based on private VLAN to the DMZ area and implement it at PT. AJB Bumiputera, Analyzed network then prioritized it on server farm area and design the protected port based on private VLAN to DMZ area which later would be implemented. The method which got implemented in this research is Network development life cycle (NDLC). The result of this achievement is keeping server of distribution attack which will be hacker do for the purpose of stealing some information and interfering activities of the company. The conclusion is PT. AJB Bumiputera will get new network security which has been optimized and conventional. Keywords: Protected port, private VLAN, DMZ area, server, server farm area, distribution attack.
PENDAHULUAN Jaringan komputer telah menjadi hal penting bagi hampir semua organisasi dan perusahaan yang ada.Internet telah merambat dan berkembang dengan cepat menjadi pusat informasi dan komunikasi yang dapat diandalkan. Internet mempermudah karyawan di setiap perusahaan yang menggunakannya untuk melakukan pekerjaan – pekerjaan. Banyak perusahaan kini telah menggunakan fasilitas internet untuk mendukung kinerja karyawan dalam melakukan perkerjaan dan pertukaran data dan informasi.Perusahaan menyimpan data-data penting didalam server file yang menjadi basis data untuk mempermudah penyimpanan dan pengaksesan data. Perusahaan memanfaatkan server web untuk menyediakan informasi bagi user luar agar mendapatkan informasi tentang perusahaan dari berbagai lokasi yang berbeda-beda. Fasilitas internet dan jaringan komputer tentunya menyisakan celah berbahaya yang dapat dimanfaatkan oleh attacker (hacker), yaitu security. External attacker yaitu hacker yang berasal dari luar jaringan perusahaan umum nya menyerang bagian server perusahaan yang memberikan akses kepada user luar. AJB Bumiputera adalah perusahaan yang bergerak di bidang asuransi jiwa di Indonesia yang sedang melakukan network security development untuk server farm dengan berfokus kepada
pencegahan distribution attack. Perusahaan ini sudah memiliki security internal berupa instalasi antivirus, antiworm, dan lainnya. Masalah dapat terjadi dan bersifat serius ketika salah satu server terkena serangan distribution attack, Apabila salah satu server terkena serangan distribution attack maka dapat menyerang server yang lain karena keberadaaannya dalam satu subnet sehingga tidak melalui router dan tidak melalui proxy untuk dilakukan filtering.
METODE PENELITIAN Metode Network Development Life Cycle (NDLC) Metode Network Development Life Cycle (NDLC) dilakukan dengan beberapa proses yaitu : Analysis, Design, Simulation Prototyping, Implementation, Monitoring, dan Management.
HASIL DAN BAHASAN Setelah mengetahui fungsi dan kepentingan dari masing – masing server, langkah berikutnya adalah melakukan perancangan. Public Server dan Backup Public Server harus diisolasi, karena tidak berhubungan dengan server lainnya dalam komunikasi. Public Server melayani user dari luar (eksternal) dalam proses kerja nya. Oleh karena itu Public Server diisolasi,menjadi isolated port dalam Private VLAN, berada paling kanan dalam gambar di bawah ini. Namun karena Public Server harus berkomunikasi dengan Backup Public Server sebagai satu cluster (satu kesatuan), maka status mereka bukanlah lagi sebagai isolated port, namun community port, agar bisa berkomunikasi hanya dalam community (sesama community yaitu public server ke backup public server dan sebaliknya) dan ke uplink (promiscious port ke arah gateway / router).
Gambar 4.2. Perancangan Private VLAN dalam server farm
Server pertama dan kedua dari kiri, juga harus diisolasi, sebagai isolated port, agar tidak bisa berhubungan ke server lain,merupakan internal server dan service server. Kedua server ini independent dan tidak memerlukan komunikasi di dalam area VLAN, hanya keluar VLAN nya. Internal Server berfungsi melayani VLAN client dari VLAN 10, 20, dan 30 dalam memberikan layanan file sharing, finance centralizing, dan lainnya. Tidak ada kebutuhan untuk konektivitas ke server sebelahnya. Oleh karena itu, server internal di definisikan dan di set sebagai isolated port, yaitu port yang hanya bisa berkomunikasi keluar dari subnet nya, yaitu ke default gateway (router) saja. Begitu pula dengan Service Server, jalur komunikasi nya sama dengan server sebelumnya yaitu Internal Server, di mana server ini berkomunikasi hanya dengan user di VLAN lain, yaitu VLAN 10, 20, dan 30. Tidak ada keperluan komunikasi dengan server lainnya di dalam server farm. Server ini berfungsi untuk memberikan service automatic IP configuration (DHCP), DNS, dan lainnya. Oleh karena itu didefinisikan juga sebagai isolated port yang hanya bisa menuju ke router (default gateway) nya saja. Berikut merupakan tabel kesimpulan rancangan implementasi private VLAN Tabel 4.1. Rancangan Private VLAN VLAN
Server
P-VLAN Type
P-VLAN Num
40
Public Server
Community VLAN
42
40
Backup Public Server Community VLAN
42
40
Internal Server
Isolated VLAN
41
40
Service Server
Isolated VLAN
41
Isolated Vlan merupakan sub VLAN (private VLAN) yang hanya bisa di bentuk satu buah di dalam setiap primary VLAN. Dalam kasus ini, primary VLAN (VLAN 40) dibuat dua sub VLAN yaitu PVLAN 41 dan PVLAN 42.
PVLAN 41 merupakan PVLAN isolated, di mana anggota PVLAN ini hanya dapat menghubungi/berkomunikasi dengan primary VLAN nya,tetapi tidak dapat berkomunikasi ke sesama PVLAN (ke sesama PVLAN 41). Jadi ketika internal server dan service server di assign PVLAN yang sama yaitu PVLAN 41, walaupun keduanya memiliki PVLAN yang sama, namun tetap tidak bisa berhubungan / berkomunikasi karena tipe keanggotaannya yaitu isolated VLAN. PVLAN 42 merupakan PVLAN community, di mana anggota PVLAN ini sebenarnya memiliki kemiripan dengan isolated PVLAN, namun diberikan akses untuk berkomunikasi ke sesama PVLAN community nya, dalam hal ini sesama PVLAN 42. Server yang di assign PVLAN 42, keduanya dapat saling berhubungan dan keduanya bisa menghubungi primary VLAN 40. Berikut tabel detail perancangan settings PVLAN port pada switch : Tabel 4.2. Rancangan port pada switch untuk kepentingan konfigurasi PVLAN VLAN / PVLAN
Port
Device
Fa 0/2
Router
40
Primary VLAN
Promiscious
Fa 0/3
Internal Server
41
Isolated PVLAN
Host
Fa 0/4
Service Server
41
Isolated PVLAN
Host
Fa 0/5
Public Server
42
Community PVLAN
Host
Fa 0/6
Backup Public Server
42
Community PVLAN
Host
Number
VLAN / PVLAN Type Port Type
Konfigurasi dilakukan pada satu switch saja, tanpa dilakukan perubahan pada topology physical hanya perubahan topology logical berikut adalah tampilan dari topology logical yang baru
Gambar 4.3 Topolgi Logika Private VLAN yang baru 1. Verifikasi Langkah pertama adalah memastikan konfigurasi Private VLAN berjalan dengan baik,bahwa Private VLAN nomor 40 telah berhasil menjadi primary VLAN dan Private VLAN 41 dan 42 telah berhasil menjadi secondary PVLAN dengan masing – masing detail PVLAN 41 menjadi PVLAN bertipe isolated dan PVLAN 42 menjadi PVLAN bertipe community, seperti gambar di bawah :
Gambar 4.12 Verifikasi konfigurasi PVLAN Primary dan Secondary Creation dan Association
Berikutnya,setelah mengecek Private VLAN creation adalah melakukan pengecekan VTP, apakah sudah berhasil menjadi VTP mode transparent. Pengecekan dilakukan dengan cara mengetikkan command “show VTP status” pada privileged mode seperti gambar di bawah :
Gambar 4.13 Verifikasi konfigurasi VTP
Kemudian, melihat konfigurasi per-interface apakah
sudah sesuai dengan
yang
direncanakan.Port f0/3 adalah anggota PVLAN 40 yang merupakan PVLAN primary dan memilki secondary PVLAN 41 - 42, seperti pada gambar di bawah
Gambar 4.14 Verifikasi konfigurasi port f0/2
interface f0/3 dan f0/4 memilki tipe keanggotaan secondary PVLAN 41 yang merupakan PVLAN isolated dan memiliki primary VLAN terasosiasi yaitu PVLAN primary nomor 40, berikut konfigurasi untuk verifikasi keanggotaan pada port f0/3 dan f0/4 :
Gambar 4.15 Verifikasi konfigurasi port f0/3 dan f0/4 Interface f0/5 dan f0/6 memilki tipe keanggotaan secondary PVLAN 42 yang merupakan PVLAN community dan memiliki primary VLAN terasosiasi yaitu PVLAN primary nomor 40, berikut konfigurasi untuk verifikasi keanggotaan pada port f0/5 dan f0/6 :
Gambar 4.16 Verifikasi konfigurasi port f0/5 dan f0/6
2. Testing Testing dilakukan dari beberapa aspek, pertama adalah memastikan promiscious port dapat diakses dari mana pun.Kemudian memastikan isolated port hanya dapat mengakses promiscious port, terakhir community bisa mengakses sesama anggotanya dan ke promiscious. Berikut detail hasil percobaan pada tabel :
Tabel 4.3Tabel Hasil Percobaan / Test ICMP Port
Type Port
Port
Type Port
Source
Source
Dest
Dest
Traffic Fail
f0/2
Promiscious
f0/3
Isolated
ICMP
Success
f0/2
Promiscious
f0/4
Isolated
ICMP
Success
f0/2
Promiscious
f0/5
Community
ICMP
Success
f0/2
Promiscious
f0/6
Community
ICMP
Success
f0/3
Isolated
f0/2
Promiscious
ICMP
Success
f0/3
Isolated
f0/4
Isolated
ICMP
Fail
f0/3
Isolated
f0/5
Community
ICMP
Fail
f0/3
Isolated
f0/6
Community
ICMP
Fail
f0/4
Isolated
f0/2
Promiscious
ICMP
Success
f0/4
Isolated
f0/3
Isolated
ICMP
Fail
f0/4
Isolated
f0/5
Community
ICMP
Fail
f0/4
Isolated
f0/6
Community
ICMP
Fail
f0/5
Community
f0/2
Promiscious
ICMP
Success
f0/5
Community
f0/3
Isolated
ICMP
Fail
f0/5
Community
f0/4
Isolated
ICMP
Fail
f0/5
Community
f0/6
Community
ICMP
Success
f0/6
Community
f0/2
Promiscious
ICMP
Success
Success/
f0/6
Community
f0/3
Isolated
ICMP
Fail
f0/6
Community
f0/4
Isolated
ICMP
Fail
f0/6
Community
f0/5
Community
ICMP
Success
Setiap port yang terdapat dalam Private VLAN yaitu port yang mengarah ke router dan Port yang mengarah ke server (4 buah server),dilakukan pengetesan dan hasil yang keluar sesuai dengan perancangan awal,yaitu : •
Interface f0/2, adalah port yang mengarah ke router, bertipe promiscious port, hasil testing sesuai dengan instruksi yaitu dapat terkoneksi ke semua port lainnya dalam topologi Private VLAN.
•
Interface f0/3, adalah port yang mengarah ke server internal, bertipe isolated port, hasil testing sesuai dengan instruksi, yaitu tidak dapat terkoneksi ke semua port kecuali ke promiscious port, dalam topologi Private VLAN.
•
Interface f0/4, adalah port yang mengarah ke server service, bertipe isolated port, hasil testing sesuai dengan Instruksi, yaitu tidak dapat terkoneksi ke semua port kecuali ke promiscious port, dalam topologi Private VLAN.
•
Interface f0/5, adalah port yang mengarah ke public server, bertipe community port, hasil testing sesuai dengan Instruksi, yaitu dapat terkoneksi ke sesama community port (f0/6) dan promiscious port namun tidak dapat berkomunikasi dengan isolated port (f0/2 dan f0/3) dalam topologi Private VLAN.
•
Interface f0/6, adalah port yang mengarah ke public server, bertipe community port,hasil testing sesuai dengan Instruksi, yaitu dapat terkoneksi ke sesama community port (f0/5) dan promiscious port namun tidak dapat berkomunikasi dengan isolated port (f0/2 dan f0/3) dalam topologi Private VLAN.
Cara untuk melakukan testing adalah dengan melakukan ping x.x.x.x dari command prompt masing – masing server dengan OS windows server, seperti gambar berikut :
Gambar 4.17 Verifikasi konfigurasi port f0/5 dan f0/6
SIMPULAN DAN SARAN Berdasarkan hasil analisis dan implementasi jaringan yang telah dilakukan dan setelah melakukan pengujian pada jaringan yang baru maka kesimpulan yang didapatkan adalah : 1. Private VLAN memiliki mekanisme keamanan jaringan yang efesien yaitu dengan membagi jenis PVLAN menjadi 2 tipe yaitu isolated (terpisah atau tidak berkomunikasi dengan server lain) dan community (Server yang saling membutuhkan untuk sharing data disatukan dalam satu kelompok tertentu). 2. Mekanisme keamanan jaringan berhasil dibuat dengan menggunakan mekanisme PVLAN yang menjaga aliran data dan komunikasi antar sesama tipe PVLAN. Saran yang diberikan untuk penelitian selanjutnya adalah: 1. Menambahkan VLAN ACL (Access Control List ) dalam penyempurnaan pembatasan koneksi antar VLAN didalam switch dengan menggunakan switchport port-security sehingga switch terlindung dari serangan CAM Table Flooding.
REFERENSI
Daftar Pustaka Tanenbaum, Andrew S. (2010). Computer networks / Andrew S. Tanenbaum, David J. Wetherall. -5th ed.
Iwan Sofana. (2011). Teori dan Modul Praktikum Jaringan Komputer: Modula. Troy McMillan. (2012). Cisco Networking Essentials: Sybex. Patrick Cicarelli,Christina Faulkner,Jerry Fitzgerald,Alan Dennis,David Groth,Toby Skander with Frank miller. (2012). Networking Basics Second Edition: John Wiley & Sons,Inc.
BehrouzA.Forouzan. (2010). TCP/IP Protocol Suite Fourth Edition: Mc Graw-Hill Companies,Inc. John E.Canavan. (2010). Fundamentals of Network Security: Artech House,Inc. Wayne Lewis LAN. (2011). LAN Switching and Wireless CCNA Exploration Companion Guide: Cisco System Inc. Monika Kusumawati. (2010).Pengenalan Sistem IDS dan WEB based. Implementasi IDS serta monitoring jaringan dengan interface web berbasis pada Keamanan Jaringan, 16. Kevin R. Fall, W.Richard Stevans. (2010). TCP/IP Illustrated,Volume 1 The Protocols: AddisonWesley Professional. Juniper Networks. (2011). Junos OS for EX Series Ethernet Switches,Release 11.4: Ethernet Switching: Juniper Network,Inc. Cisco. (2010). Cisco IE 3000 Switch Software Configuration Guide: Cisco System,Inc Cisco. (2011). Converged Plantwide Ethernet(CPwE) Design and Implementation Guide: Cisco System,Inc and Rockwell Automation,Inc
RIWAYAT PENULIS Juliano Ivan Maruli lahir di kota Jakarta pada tanggal 27 Juli 1993.Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Teknik Informatika pada tahun 2015.
Yosafat Samuel Bangun lahir di kota Jakarta pada tanggal 27 Oktober 1993.Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Teknik Informatika pada tahun 2015.
Michael Andreas Lacandu lahir di kota Sampit pada tanggal 2 Mei 1993.Penulis menamatkan pendidikan S1 di Universitas Bina Nusantara dalam bidang Teknik Informatika pada tahun 2015.
